Comentarios en: Tiro al aire: No me sé mis contraseñas (y tú tampoco deberías) https://www.enter.co/empresas/seguridad/tiro-al-aire-no-me-se-mis-contrasenas-y-tu-tampoco-deberias/ Tecnología y Cultura Digital Mon, 18 Jul 2016 03:23:00 +0000 hourly 1 https://wordpress.org/?v=6.9.4 Por: Andrés Romero https://www.enter.co/empresas/seguridad/tiro-al-aire-no-me-se-mis-contrasenas-y-tu-tampoco-deberias/#comment-184777 Mon, 18 Jul 2016 03:23:00 +0000 http://www.enter.co/?p=254529#comment-184777 Los servidores de LastPass también son suceptibles a ataques.

]]> Por: VooDooChicken https://www.enter.co/empresas/seguridad/tiro-al-aire-no-me-se-mis-contrasenas-y-tu-tampoco-deberias/#comment-184751 Fri, 15 Jul 2016 19:45:00 +0000 http://www.enter.co/?p=254529#comment-184751 comentario general. cuando en un sitio web se graban contraseñas, muchas veces (al parecer no siempre, o si no cuando se robaran las contraseñas de un sitio no servirían para otro) esas contraseñas se guardan encriptadas. se supone que no es que haya una forma de desencriptarlas. de hecho generalmente no se usa un sistema de encripción o cifrado sino de hashing. el hashing es algo que se usa para otras cosas, como bases de datos, paa asignarle a unos datos un valor dentro de un rango, y asegurar que ese valor dentro del rango tenga una distribución más o menos uniforma. entonces lo que hacen con ese cambio en las claves, es que la clave no queda guardad como la clave inicial, sino como un valor que a simple vista es como aleatorio, y que no es una función 1 a 1. para recordar, funciones 1 a 1 son las funciones que para cada valor en el rango, se puede aplicar una función reversa y se obtiene un único valor del dominio. acá no es así. es un valor que depronto no es evidente cuál era el valor que originó esa respuesta. cuando el usuario ingresa su clave, el programa aplica la misma función de conversión, y mira si esa cosa que salio al aplicar el hashing es igual a lo que tiene grabado el usuario como clave.
sin embargo, si en un servidor están grabadas esas claves paralos demás sitios, es porque no están con el hashing, o si estñan encriptadas, quedan encriptadas con una función ‘reversible’, y conociendo la función se puede obtener el valor original (o con fuerza bruta, pero con adivinar una sola clave usando fuerza bruta ya le quedan todas las demás claves al descubierto). por qué nopueden quedar grabadas sin el hashing? porque ese programa le indica al formato web la clave de ingreso, a travñes de la misma forma que el usuario se la daría escribiendo el teclado. no le da ya la clave con el hash. tiene ué tener una forma de obtener esa cadena para ingresarla al sitio que se la pida.
es decir, cruzarlos dedos que por ptoteger las claves alguien no le robe todas las claves de una, atacando als itio que le guarda esas claves. aunque hay un punto positivo: en los ataques de fuerza bruta, yo puedo ya detenerme si lo que encuentro usando una clave que obtuve adivinando parece tener sentido. si al usar claves aleatorias siempre obtengo cadenas de caracteres aleatorias, no sé cuñando detenerme, porque nos é cuándo esa cadena puede o no ser la clave desencriptada. en todo caso tener presente que siempre hay riesgos

]]>